Dos graves vulnerabilidades en Android y los Pixel obligan a intervenir a EE.UU

 «O actualizan antes de 10 días o no usen su smartphone de Google»

El gobierno de los Estados Unidos ha tenido que entrar de lleno en una problemática que ha afectado a Google, y se cree que también a algunos terminales de Android. Dos graves vulnerabilidades en Google, Pixel y Android han hecho temblar a EE.UU. hasta el punto de que se les pide a los trabajadores que actualicen sus Pixel o dejen de usarlos. ¿Tan graves son estas vulnerabilidades detectadas en Google para que los Pixel dejen de funcionar en estancias gubernamentales?

Asignadas como CVE-2024-29745 y CVE-2024-29748, las dos vulnerabilidades reportadas por GrapheneOS dejan claro que a Google se le ha atragantado la seguridad en los últimos meses. La gravedad de ambas es de tal calibre que los empleados federales tienen órdenes directas amparadas por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU., así que es un tema serio.

Vulnerabilidades en los Google Pixel y Android: gravedad crítica, parches online y una actualización que EE.UU. acelera

Vulnerabilidad-Android-Google-Pixel-EE.UU

La actualización de Google de este mes traía sorpresa mediante parches de seguridad específicos para los teléfonos Pixel, pero también para cualquier otro smartphone con Android 14. El tipo de gravedad es crítica según afirma GrapheneOS:

CVE-2024-29745 hace referencia a una vulnerabilidad en el firmware fastboot utilizado para admitir el desbloqueo/flasheo/bloqueo. Las empresas forenses están reiniciando dispositivos después del primer desbloqueo en modo fastboot en Pixels y otros dispositivos para explotar vulnerabilidades allí y luego volcar la memoria.

CVE-2024-29748 hace referencia a una vulnerabilidad que brinda la capacidad de interrumpir un restablecimiento de fábrica activado por una aplicación de administración del dispositivo.

Por tanto, estas dos vulnerabilidades pueden ser usadas por atacantes para conseguir un acceso al terminal al completo, aunque bien es cierto que en ambas se tiene que tener acceso físico, pero, ¿quién no ha perdido un móvil o se lo han robado por desgracia? Ambas vulnerabilidades han puesto nerviosa a la CISA, y el gobierno de EE.UU. ha intervenido ante la gravedad de las mismas.

Los empleados tienen dos opciones obligatorias, los usuarios, en cambio, deben actualizar lo antes posible

Android 15 logo

Los empleados federales tienen dos opciones: dejar de usar los teléfonos Pixel o actualizarlos antes del 4 de julio. Esto parece que está siendo aplicado también por ciertas empresas privadas, que están haciendo lo propio con sus empleados. La solución ya está online y disponible por parte de Google, por lo que lo más fácil es actualizar y seguir con el terminal como si nada.

El problema es que el primer aviso que dio GrapheneOS es de abril, y los atacantes han tenido dos meses para hacerse con terminales y poder explotar los exploit hasta que Google ha podido lanzar la solución. Igualmente, parece que con la siguiente versión del SO más usado del mundo esto se solucionará para todos:

Las vulnerabilidades se solucionaron en los teléfonos Pixels con la actualización de junio (Android 14 QPR3) y se solucionará en otros dispositivos Android cuando finalmente se actualicen a Android 15.

En otras palabras, hay terminales que no están parcheados y siguen sufriéndolas. Lo curioso de este asunto es que Google no desvela cuáles están afectados, así que lo único que se puede hacer es no perder el teléfono ni dejarlo en sitios donde pueda ser robado para no jugárnosla con ambas vulnerabilidades ante un posible ataque.

Es de esperar que en octubre se lance Android 15 con la presentación de los Pixel 9, así que para todos los que no tengan uno de los terminales de la gran G toca esperar.